Sử dụng bảng điều khiển Security (Bảo mật) trong Công cụ của Chrome cho nhà phát triển để đảm bảo HTTPS được triển khai đúng cách trên một trang. Hãy xem bài viết Lý do HTTPS quan trọng để tìm hiểu lý do mọi trang web đều cần được bảo vệ bằng HTTPS, ngay cả những trang web không xử lý dữ liệu nhạy cảm của người dùng.
Tổng quan
Bảng điều khiển Security (Bảo mật) là nơi chính trong DevTools để kiểm tra tính bảo mật của một trang. Bảng điều khiển Bảo mật cung cấp cho bạn thông tin tổng quan về nguồn gốc của trang, bao gồm cả cảnh báo bảo mật HTTP, thông tin chi tiết về nguồn gốc và chứng chỉ.
Mở bảng điều khiển Bảo mật
Để mở bảng điều khiển Bảo mật, hãy làm theo các bước sau:
- Mở Công cụ cho nhà phát triển.
- Mở trình đơn Command (Lệnh) bằng cách nhấn:
- macOS: Command+Shift+P
- Windows, Linux, ChromeOS: Ctrl+Shift+P
Bắt đầu nhập
security, chọn Hiển thị bảng điều khiển bảo mật rồi nhấn Enter.
Hình 1 Bảng điều khiển Bảo mật
Hoặc, ở góc trên cùng bên phải, hãy chọn more_vert Tuỳ chọn khác > Công cụ khác > Bảo mật.
Các sự cố thường gặp
Nguồn gốc chính không an toàn
Khi nguồn gốc chính của một trang không an toàn, phần Tổng quan về bảo mật sẽ hiển thị thông báo Trang này không an toàn.
Hình 2. Trang không an toàn
Vấn đề này xảy ra khi URL mà bạn truy cập được yêu cầu qua HTTP. Để đảm bảo an toàn, bạn cần yêu cầu thông tin đó qua HTTPS. Ví dụ: nếu bạn nhìn vào URL trong thanh địa chỉ, URL đó có thể trông giống như http://example.com. Để đảm bảo an toàn, URL phải là https://example.com.
Nếu bạn đã thiết lập HTTPS trên máy chủ của mình, thì bạn chỉ cần định cấu hình máy chủ để chuyển hướng tất cả yêu cầu HTTP tới HTTPS.
Nếu bạn chưa thiết lập HTTPS trên máy chủ, Let's Encrypt sẽ cung cấp một cách miễn phí và tương đối dễ dàng để bắt đầu quá trình này. Ngoài ra, bạn có thể cân nhắc việc lưu trữ trang web trên một CDN. Theo mặc định, hầu hết các CDN chính đều hiện đang lưu trữ trên HTTPS.
Nội dung hỗn hợp
Nội dung hỗn hợp có nghĩa là nguồn gốc chính của trang là an toàn, nhưng trang đã yêu cầu tài nguyên từ các nguồn gốc không an toàn. Các trang có nội dung hỗn hợp chỉ được bảo vệ một phần vì nội dung HTTP có thể truy cập được bằng trình quan sát và dễ bị tấn công giả mạo.
Hình 3. Nội dung hỗn hợp
Trong Hình 3, thao tác nhấp vào View 1 request in Network panel (Xem 1 yêu cầu trong bảng điều khiển mạng) sẽ mở bảng điều khiển Network (Mạng) và áp dụng bộ lọc mixed-content:displayed để Network Log (Nhật ký mạng) chỉ hiển thị các tài nguyên không an toàn.
Hình 4. Tài nguyên hỗn hợp trong Nhật ký mạng
Xem chi tiết
Xem chứng chỉ gốc chính
Trong phần Security Overview (Tổng quan về bảo mật), hãy nhấp vào View certificate (Xem chứng chỉ) để kiểm tra nhanh chứng chỉ của nguồn gốc chính.
Hình 5. Chứng chỉ nguồn gốc chính
Xem thông tin chi tiết về máy chủ gốc
Nhấp vào một trong các mục trong thanh điều hướng bên trái để xem thông tin chi tiết về nguồn gốc. Trên trang chi tiết, bạn có thể xem thông tin về kết nối và chứng chỉ. Thông tin về tính minh bạch của chứng chỉ cũng sẽ xuất hiện khi có sẵn.
Hình 6. Thông tin chi tiết về nguồn gốc chính